Re: Apache2 er gået amok

To: debian-user-danish@lists.debian.org
Subject: Re: Apache2 er gået amok
From: asjo@koldfront.dk (Adam Sjøgren)
Date: Sat, 26 Aug 2006 12:35:19 +0200
Message-id: <[🔎] 87r6z3bx94.fsf@topper.koldfront.dk>
References: <[🔎] 200608250017.03350.flem@bjerke.dk> <[🔎] 200608251914.05590.bjerke@polforsk.dk> <[🔎] 87k64w665i.fsf@topper.koldfront.dk> <[🔎] 200608252236.22772.flem@bjerke.dk>

On Fri, 25 Aug 2006 22:36:22 +0200, Flemming wrote:

>> Log-linien indikerer ikke noget proxy eller andet hokus pokus.

> Hmmm. Hvad gør jeg så? Selvom du har ret i at de linier jeg
> kopierede ikke siger noget om apache proxy funktion, er det nu
> alligevel det de er udtryk for.

Ok, det kan være vi snakker om to forskellige ting. Jeg påstår at dine
logklip indikerer at din webserver IKKE har ageret proxy for nogen.
Måske er det du prøver at sige at nogen PRØVER at bruge din webserver
som proxy?

> Tag nu f.eks. :

> 69.31.45.251 - - [25/Aug/2006:18:20:48 +0200] "GET 
> http://wendie.net/stories.php?story=04/10/23/2475116 HTTP/1.0" 404 
> 1025 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 
> 1.1.4322)"

> Det kan godt være den ikke siger noget om proxy, men ikke desto mindre 
> forsvinder traffikken når jeg slukker for apache (e.lign.).

Det er vel ikke mærkeligt at du ikke kan se trafik til din webserver,
når du lukker den?

Log-linien siger at din maskine svarede '404 Not Found' til det
request den fik - dvs. 69.31.45.251 *prøvede* på at bruge din
webserver som proxy til at hente en side på wendie.net, men din
webserver afviste requestet.

Du kan jo evt. prøve at installere ngrep og køre 'sudo ngrep port 80'
og se om din Apache henter noget, eller om den alene modtager
forespørgsler og returnerer fejlsider.

> Og netop log linier er de eneste der kommer væltende i access.log. 
> Jeg ville gerne komme med en ikke 404 linie, men det kan jeg ikke,
> bortfra der også er andre fejl såsom 500. Derfor er jeg ret
> overbevist om at de dækker over nogle skumle processer.

Din Apache ser ud til, fra det du har vist, at gøre præcis som den
skal, og du konkluderer at der er fejl i den. Hvad bringer dig til den
konklusion?

> Hvad gør jeg nu?

Tjah, jeg synes det interessante er hvilke maskiner det er, der sender
requests til din webserver.

Det kunne være en fejl i nogens DNS opsætning, så de ved et uheld
peger på din IP-adresse - eller måske nogen der ikke kan lide din
IP-adresse (har du haft den længe?), subsidiært nogen der ikke kan
lide dig, som derfor sender en masse requests din vej.

Eller måske har du tidligere haft Apache fejlkonfigureret, det har
nogen/noget opdaget, og derfor prøver de fortsat at udnytte din
server, også efter du har rettet opsætningen?

Det eneste suspekte - ud fra den del af verden du "styrer", altså din
webserver - du har vist endnu, er det dér request fra 127.0.0.1.

Det andet spørgsmål er så hvorfor du får så mange requests fra folk
der prøver på - men ikke lykkes med iflg. dine logklip - at udnytte
din webserver som proxy.

  Mvh.

   Adam

-- 
 "Og vi? Vi bliver bare dummere og dummere. Og lige           Adam Sjøgren
  pludselig tror vi at alle der ikke ligner Bengt Burg   asjo@koldfront.dk
  eller en honningkage, det er voldstosser."

Reply to:

References:
- Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>
- Re: Apache2 er gået amok
  - From: Flemming Bjerke <bjerke@polforsk.dk>
- Re: Apache2 er gået amok
  - From: asjo@koldfront.dk (Adam Sjøgren)
- Re: Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>

Prev by Date: Re: Apache2 er gået amok
Next by Date: Re: Apache2 er gÃ¥et amok
Previous by thread: Re: Apache2 er gået amok
Next by thread: Re: Apache2 er gÃ¥et amok
Index(es):
- Date
- Thread